徐小康+汪文濤

實(shí)踐中，白帽子作為技術(shù)人員，對(duì)法律知識(shí)知之甚少，當(dāng)前較為迫切的問題是立法規(guī)范引導(dǎo)白帽子，為其創(chuàng)造合適的法律環(huán)境

點(diǎn)

擊漏洞提交平臺(tái)烏云網(wǎng)的主頁，出現(xiàn)的是一份“升級(jí)公告”，還有一句意味深長(zhǎng)的“與其聽信謠言，不如相信烏云”。這是個(gè)曝光過國(guó)內(nèi)知名技術(shù)社區(qū)CSDN的600余萬用戶資料泄露漏洞的網(wǎng)站，最近一條新聞則是注冊(cè)白帽子ID為ledoo的袁煒因自己發(fā)現(xiàn)的漏洞被立案的消息。

袁煒是互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)烏云網(wǎng)上的一名白帽子，2015年12月，袁煒檢測(cè)發(fā)現(xiàn)了婚戀交友網(wǎng)站“世紀(jì)佳緣”的系統(tǒng)漏洞，并在烏云網(wǎng)上提交了系統(tǒng)漏洞。世紀(jì)佳緣也聯(lián)系了他，并對(duì)他表示了感謝。

事件的轉(zhuǎn)折點(diǎn)發(fā)生在世紀(jì)佳緣以“網(wǎng)站數(shù)據(jù)被非法竊取”報(bào)警之后。警方經(jīng)調(diào)查發(fā)現(xiàn)袁煒使用入侵軟件獲取世紀(jì)佳緣網(wǎng)站數(shù)據(jù)信息，并以涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪將其刑事拘留。世紀(jì)佳緣網(wǎng)站CEO吳琳光稱，事先并不知曉本次網(wǎng)站攻擊事件來自袁煒，案件發(fā)生后，因進(jìn)入司法程序，世紀(jì)佳緣也只能等待司法機(jī)關(guān)調(diào)查。

“白帽子”袁煒被抓事件發(fā)生后，引發(fā)公眾尤其是程序員們的熱烈關(guān)注。如何定義白帽子，在進(jìn)行網(wǎng)絡(luò)安全測(cè)試時(shí)要遵循哪些規(guī)范，漏洞平臺(tái)是否有權(quán)公布企業(yè)安全漏洞等問題也引發(fā)法學(xué)專家們的討論。

“目前白帽子的定義很少出現(xiàn)在各國(guó)的法律和標(biāo)準(zhǔn)中，一則因?yàn)榘酌弊邮亲罱畮啄晔⑿衅饋淼?，二則因?yàn)榘酌弊舆€屬于尚未擁有法律地位的民間技術(shù)團(tuán)體。實(shí)踐中普遍將白帽子與灰帽子、黑帽子聯(lián)系在一起，認(rèn)為白帽子是黑客的一種。與之相近的概念稱為道德黑客，即模擬黑客攻擊，幫助客戶了解自己網(wǎng)絡(luò)的弱點(diǎn)，并為客戶提出改進(jìn)建議的網(wǎng)絡(luò)安全專家?！惫膊康谌芯克⑿畔⒕W(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室二級(jí)警督黃道麗副研究員告訴《方圓》記者。

“一般所理解的白帽子不以挖掘漏洞為生，其對(duì)各個(gè)網(wǎng)站進(jìn)行安全測(cè)試的動(dòng)機(jī)主要是維護(hù)網(wǎng)絡(luò)安全。但是如何在法律上界定白帽子，如何認(rèn)定挖掘行為的法律性質(zhì)，如何判斷發(fā)布漏洞細(xì)節(jié)的危險(xiǎn)性，目前在法律上還處于模糊地帶?！?北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心常務(wù)副主任謝永江說。

白帽子背后的法律風(fēng)險(xiǎn)

在袁煒案中，獲取網(wǎng)站信息成為其被捕的重要原因。世紀(jì)佳緣一方委托了一家司法鑒定所對(duì)其服務(wù)器日志進(jìn)行鑒定，鑒定意見顯示，世紀(jì)佳緣網(wǎng)在2015年12月3日17時(shí)許至2015年12月4日10時(shí)許，被“124.160.67.131”等11個(gè)IP地址非法訪問，入侵者對(duì)網(wǎng)站數(shù)據(jù)庫進(jìn)行了讀取操作，涉及讀取操作的數(shù)據(jù)庫數(shù)據(jù)信息為932條。

在袁煒案引發(fā)的討論中，很多程序員認(rèn)為白帽子挖掘漏洞涉及讀取信息，善意獲取不違法。對(duì)此，黃道麗表示，“我國(guó)刑法規(guī)范的是所有未經(jīng)授權(quán)訪問計(jì)算機(jī)信息系統(tǒng)的行為，這些并非直接針對(duì)漏洞挖掘行為的規(guī)定。任何主體若利用系統(tǒng)安全漏洞實(shí)施了入侵行為，均可能觸犯刑法規(guī)定，都要追責(zé)。未經(jīng)授權(quán)侵入計(jì)算機(jī)信息系統(tǒng)也是各國(guó)刑事立法共同打擊的行為。”

在認(rèn)定標(biāo)準(zhǔn)上，黃道麗解釋道，根據(jù)最高院司法解釋，獲取網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息以外的其他身份認(rèn)證信息五百組就構(gòu)成刑法所規(guī)定的“情節(jié)嚴(yán)重”，入侵者面臨三年以下有期徒刑或者拘役，并處或者單處罰金。這一量化標(biāo)準(zhǔn)在制定過程中肯定經(jīng)過了大量的實(shí)證檢驗(yàn)和研討論證，規(guī)定本身沒有問題。有人爭(zhēng)議袁煒作為白帽子當(dāng)中的“新人”多獲取了一些數(shù)據(jù)無可厚非不是法律上定罪應(yīng)當(dāng)考慮的因素。

實(shí)踐中，還存在白帽子使用和黑客相同的軟件進(jìn)行漏洞測(cè)試的情況，比如袁煒就使用了一款名為SQLmap的安全測(cè)試軟件，這個(gè)軟件自帶緩存功能，會(huì)自動(dòng)將測(cè)試信息存儲(chǔ)到本地的一個(gè)隱藏文件夾。

“如果白帽子在挖掘漏洞過程中使用的自動(dòng)化工具導(dǎo)致獲取的數(shù)據(jù)量觸犯刑法，他們應(yīng)考慮調(diào)整功能或使用其他規(guī)范化工具。”黃道麗告訴《方圓》記者，實(shí)踐中，白帽子作為技術(shù)人員，對(duì)法律知識(shí)知之甚少，當(dāng)前較為迫切的問題是立法規(guī)范、引導(dǎo)白帽子，為其創(chuàng)造合適的法律環(huán)境。

“當(dāng)前，并沒有法律對(duì)挖掘漏洞行為進(jìn)行具體規(guī)范，刑法主要從行為的角度進(jìn)行規(guī)制。在認(rèn)定白帽子是否善意破解、測(cè)試漏洞時(shí)，強(qiáng)調(diào)結(jié)果。因?yàn)楫?dāng)事人當(dāng)時(shí)的主觀意志無法客觀鑒定，既有可能是測(cè)試的疏忽，也可能是一念之差，故意留存了數(shù)據(jù)?！敝x永江表示，在法律不明確的情況下，白帽子挖掘漏洞行為本身帶有風(fēng)險(xiǎn)，而現(xiàn)有的法律規(guī)范傾向于保護(hù)企業(yè)利益。如果袁煒的行為確實(shí)構(gòu)成了法律規(guī)定的獲取信息的定罪標(biāo)準(zhǔn)，仍然需要承擔(dān)相應(yīng)的法律責(zé)任。

目前我國(guó)對(duì)白帽子善意挖掘漏洞的法律規(guī)范并沒有形成系統(tǒng)的法律體系，比較零散地體現(xiàn)在一些法律法規(guī)以及部門規(guī)章里，例如《保守國(guó)家秘密法》、《治安管理處罰法》、《刑法》以及還在審議中的《網(wǎng)絡(luò)安全法》，這些法律并沒有明確規(guī)定出白帽子的行為邊界。黃道麗強(qiáng)調(diào)，法律規(guī)定不明確導(dǎo)致白帽子行為仍然存在不確定性。但在新法出臺(tái)前，現(xiàn)有的法律和司法解釋規(guī)定，應(yīng)成為白帽子實(shí)施挖掘行為必須接受和前置考慮的一個(gè)客觀要求。

國(guó)外白帽子如何免責(zé)

實(shí)際上國(guó)內(nèi)外都有大量的數(shù)據(jù)泄露的安全事件發(fā)生。只不過一方面知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力，另一方面，是否采取法律行動(dòng)則需要相應(yīng)法律能力和成本。黃道麗表示，目前單純因?yàn)槁┒赐诰虮涣傅陌酌弊有侣劜⒉欢啵⒉槐硎具`反法律的挖掘行為沒有或較少發(fā)生。如何通過法律規(guī)范白帽子行為成為一項(xiàng)值得研究的重要課題。

從各國(guó)法律來看，挖掘安全漏洞的行為一般會(huì)根據(jù)主體與行為動(dòng)機(jī)予以不同的規(guī)定。

比如美國(guó)早在1998《數(shù)字千年版權(quán)法》中就規(guī)定了安全測(cè)試（包括白帽子）的界限：安全漏洞信息的獲取和利用僅以保障被測(cè)試計(jì)算機(jī)系統(tǒng)的所有人或運(yùn)營(yíng)人的安全為目的。

對(duì)于白帽子等團(tuán)隊(duì)或個(gè)人合法獲取的漏洞信息。美國(guó)《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時(shí)的披露規(guī)則。首先，披露者應(yīng)采取適當(dāng)措施，保護(hù)所掌握的漏洞信息；其次，披露時(shí)應(yīng)當(dāng)去除可以用于識(shí)別特定人的信息； 第三，不得使用漏洞信息獲得不公平的競(jìng)爭(zhēng)優(yōu)勢(shì)。同時(shí)，白帽子可以以“善意辯護(hù)”豁免挖掘漏洞的法律責(zé)任?！毒W(wǎng)絡(luò)安全法》也規(guī)定，在不違反該法的前提下，基于善意信賴，可豁免于所有的民事和刑事法律。

在漏洞檢測(cè)和披露問題上，我國(guó)的《網(wǎng)絡(luò)安全法（草案二次審議稿）》則在學(xué)者呼吁下增加了第二十五條規(guī)定：“開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。”黃道麗表示，審議稿為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定或出臺(tái)做了鋪墊。

單個(gè)漏洞最高獎(jiǎng)勵(lì)3萬美元

“法律永遠(yuǎn)滯后于技術(shù)發(fā)展?！弊鳛橹袊?guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)理事之一的謝永江表示，召集專業(yè)人士通過行業(yè)協(xié)會(huì)形成白帽子挖掘漏洞、提交漏洞的行業(yè)標(biāo)準(zhǔn)更為快捷。行業(yè)準(zhǔn)則可以制定白帽子的注冊(cè)標(biāo)準(zhǔn)，規(guī)范使用工具，包括對(duì)挖掘行為的邊界形成行業(yè)共識(shí)，統(tǒng)一挖掘漏洞的授權(quán)規(guī)則。黃道麗也認(rèn)為，需要法律規(guī)范的應(yīng)完善并合理化，具體的技術(shù)規(guī)范則可以交給市場(chǎng)優(yōu)化解決。

對(duì)比烏云網(wǎng)的對(duì)公眾強(qiáng)制披露制度、只對(duì)廠商內(nèi)部披露的補(bǔ)天模式以及國(guó)家信息安全漏洞共享平臺(tái)模式，謝永江認(rèn)為，漏洞平臺(tái)對(duì)公眾強(qiáng)制披露漏洞存在著現(xiàn)實(shí)和法律風(fēng)險(xiǎn)。首先，公眾對(duì)漏洞細(xì)節(jié)不一定了解，遑論采取相對(duì)應(yīng)的防范措施。其次，披露漏洞細(xì)節(jié)可能引來黑帽子的攻擊，加重漏洞的危害。不過，如果廠商在接到漏洞報(bào)告后不修復(fù)漏洞，導(dǎo)致用戶信息因該漏洞泄露。白帽子的漏洞報(bào)告就可以成為廠商不履行網(wǎng)絡(luò)安全管理義務(wù)，在用戶信息泄露事件上存在過失的證據(jù)。用戶因此產(chǎn)生的損失就可以索賠。

西安交通大學(xué)法學(xué)院與360公司曾就白帽子挖掘漏洞的獎(jiǎng)勵(lì)模式進(jìn)行了專題研究，并發(fā)布了《白帽子安全漏洞挖掘風(fēng)險(xiǎn)報(bào)告》。當(dāng)前多種漏洞披露平臺(tái)具有一定的嘗試和探索意義?！皬哪壳皣?guó)內(nèi)外漏洞平臺(tái)的發(fā)展階段看，似乎也不存在一種單一的模式?！眳⑴c撰寫該報(bào)告的黃道麗告訴《方圓》記者。

報(bào)告顯示，臉書（Facebook）僅在2015年就給210名白帽黑客發(fā)放了93.6萬美元的漏洞獎(jiǎng)勵(lì)。漏洞賞金計(jì)劃、漏洞購買計(jì)劃（VPPs）以及漏洞獎(jiǎng)勵(lì)計(jì)劃吸引更多白帽子加入安全防護(hù)研究，已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域司空見慣的事情。

在國(guó)外漏洞眾測(cè)平臺(tái)第一黑客（HackerOne）上，由眾測(cè)企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎(jiǎng)勵(lì)，第一黑客則從企業(yè)獎(jiǎng)勵(lì)中抽取20%的費(fèi)用。第一黑客還向企業(yè)提供付費(fèi)服務(wù)模式，如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前，第一黑客已幫助500多家企業(yè)找出2萬多個(gè)漏洞，向3200多名獨(dú)立安全研究員發(fā)放了600多萬美元的獎(jiǎng)勵(lì)，單個(gè)漏洞獎(jiǎng)勵(lì)最多達(dá)到3萬美元。

從國(guó)際實(shí)踐來看，相比目前我國(guó)企業(yè)較低的漏洞獎(jiǎng)勵(lì)金額，黑市交易的高額回報(bào)顯然更具誘惑力，這也是黑市產(chǎn)業(yè)鏈形成和發(fā)展的關(guān)鍵因素。黃道麗表示，“白帽子是一群崇尚自由的群體，憑借自身對(duì)技術(shù)的追求或?qū)W(wǎng)絡(luò)安全的維護(hù)之心等挖掘漏洞，期望從中實(shí)現(xiàn)不同的價(jià)值，所以白帽子不會(huì)因?yàn)樯虡I(yè)化消失。因此，建立長(zhǎng)效高額的安全漏洞獎(jiǎng)勵(lì)機(jī)制是支持和鼓勵(lì)白帽子的最佳方式?！?/p>

漏洞信息或成戰(zhàn)略資源

《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2016）》顯示：截至2015年12月底，中國(guó)網(wǎng)站總量達(dá)到426.7萬余個(gè)；而由于各種各樣安全漏洞的存在，網(wǎng)站面臨著黑客以癱瘓目標(biāo)業(yè)務(wù)系統(tǒng)、竊取用戶有價(jià)值信息等為主要目的的攻擊威脅，公共互聯(lián)網(wǎng)環(huán)境仍面臨較為嚴(yán)峻的安全態(tài)勢(shì)。

“信息技術(shù)的迅速發(fā)展促使了計(jì)算規(guī)模的膨脹，增加了個(gè)人、企業(yè)乃至社會(huì)和國(guó)家對(duì)網(wǎng)絡(luò)安全的需求?！诿弊?、‘灰帽子等利用漏洞進(jìn)行攻擊的事件層出不窮，且手段愈發(fā)多樣化和高明，網(wǎng)絡(luò)風(fēng)險(xiǎn)的泛在性使得安全成為普遍性的問題，白帽子因其道德和倫理偏向成為企業(yè)甚至政府機(jī)構(gòu)獲取漏洞、升級(jí)系統(tǒng)的重要途徑，在維護(hù)信息系統(tǒng)方面的作用不可替代。

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部副主任嚴(yán)寒冰也表示，2009年以后，多家漏洞報(bào)告平臺(tái)的陸續(xù)成立，如補(bǔ)天平臺(tái)、烏云網(wǎng)、漏洞盒子，白帽子發(fā)現(xiàn)并上報(bào)漏洞已經(jīng)成為整個(gè)漏洞發(fā)現(xiàn)處置體系中的重要環(huán)節(jié)。

網(wǎng)絡(luò)安全漏洞不僅僅關(guān)系到企業(yè)和個(gè)人的信息安全，甚至涉及國(guó)家安全。發(fā)達(dá)國(guó)家早已“把漏洞信息當(dāng)做一種戰(zhàn)略資源”，謝永江表示。

比如2013年，世界主要工業(yè)設(shè)備和武器制造國(guó)在常規(guī)武器及其民用技術(shù)協(xié)定《瓦森納協(xié)定》中規(guī)定零日（0day）漏洞也屬于危險(xiǎn)武器出口條約的規(guī)范對(duì)象。不僅漏洞信息本身禁止用于犯罪或出口至“專制政權(quán)”，相應(yīng)的用于入侵計(jì)算機(jī)系統(tǒng)的軟件、硬件設(shè)備和組件也享受同等限制。

2015年5月20日，美國(guó)工業(yè)與安全局發(fā)布一份《瓦森納協(xié)定》的落實(shí)草案，就規(guī)定禁止在不同的國(guó)家之間互通漏洞信息。據(jù)此，美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況是一種出口行為，需預(yù)先申請(qǐng)政府許可，否則將被視為非法。

“漏洞信息本身具有一定的應(yīng)用價(jià)值，我認(rèn)為可以在國(guó)家層面成立漏洞信息庫，收購企業(yè)、包括白帽子在內(nèi)的個(gè)人發(fā)現(xiàn)的漏洞。當(dāng)前，在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)日益成為現(xiàn)實(shí)的情況下，未雨綢繆，做好技術(shù)儲(chǔ)備工作?！敝x永江建議。

漏洞信息的挖掘與保護(hù)也得到了我國(guó)政府的關(guān)注?！敖⒔y(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來”。國(guó)家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上表示。漏洞發(fā)現(xiàn)也被寫入我國(guó)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》，作為提升全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)能力的一部分。謝永江表示，目前中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)也正在籌建中，將來也會(huì)成立分會(huì)對(duì)包括白帽子問題、安全漏洞的法律定位進(jìn)行專門研究。